O hacker que dá pelo nome de EMINэM é o principal distribuidor dos malware Remcos e GuLoader que, disfarçados de ferramentas legítimas, estão a ser disseminados pelas regiões da EMEA e Ásia Pacífico. A identificação do distribuidor foi feita pela Check Point Research, que já comunicou as suas conclusões às autoridades de segurança e judiciais.
Esta vaga de ataques confirma a tendência dos hackers em escolherem ferramentas legítimas para esconder o software malicioso e perpetrar os ciberataques. “Embora os vendedores aleguem uma utilização legal, a CPR encontrou uma forte ligação entre estas ferramentas e a cibercriminalidade”, podemos ler no comunicado da empresa de cibersegurança.
A Check Point Research continua a explicação: “Enquanto o Remcos se esforça para evitar a deteção de antivírus, o GuLoader atua como seu aliado, ajudando-o a contornar as medidas de proteção. A CPR descobriu que o GuLoader é rebatizado e vendido como um crypter, garantindo que o payload do Remcos permanece totalmente indetetável pelos antivírus. Surpreendentemente, o mesmo administrador gere a plataforma, vendendo ambas as ferramentas enquanto opera o website oficial e os canais do Telegram para o Remcos. A CPR encontrou provas irrefutáveis de que este indivíduo não só emprega malware como o Amadey e o Formbook, mas também utiliza o GuLoader para se proteger contra a deteção de antivírus. Os nomes de domínio e endereços IP associados ao vendedor do Remcos e do GuLoader aparecem em relatórios de analistas de malware“.
O Remcos é apelidado de RAT, de Remote Access Trojan e está agora em terceiro lugar, a nível global, no relatório de julho de malwares predominantes. É regularmente distribuído através de documentos da Microsoft aparentemente autênticos ou de downloaders que são realmente maliciosos.
O estudo ThreatCloud AI da Check Point mostra que o GuLoader e o Remcos estão a ser usados para atacar os setores financeiro e da educação principalmente, com a outra investigação a demonstrar que os vendedores destas ferramentas estão cientes de que o software está a ser adotado por cibercriminosos. O relatório comprova ainda a grave ameaça que representa o software de dupla utilização e destaca a necessidade de uma maior vigilância contra estas práticas enganosas no panorama da cibersegurança.
